ISAE 3402 of SOC 2: voorkom een datalek bij je leverancier

Verkrijg zekerheid met ISAE 3402 en SOC 2

Eind maart 2023 is er een groot datalek aan het licht gekomen bij verschillende marktonderzoeksbureaus, waarbij de persoonsgegevens van honderdduizenden mensen die hebben meegedaan aan klanttevredenheidsonderzoeken mogelijk in handen zijn gevallen van hackers. Dit lek heeft onder andere NS, VodafoneZiggo, Heineken en CZ getroffen.

Dit datalek is een wake-up call voor alle organisaties die gebruik maken van externe partijen voor beheer van data en systemen. Het is essentieel om te weten wie je data heeft, waar deze wordt opgeslagen en hoe deze wordt beveiligd. Vraag daarom altijd naar een ISAE 3402 of SOC 2 verklaring als je zaken doet met een serviceorganisatie. Zo kun je datalekken voorkomen en uw informatiebeveiliging verbeteren.

Bron: RTL nieuws.

Wat is er gebeurd?

De bron van het lek is een softwareleverancier, die een online platform aanbiedt voor het uitvoeren en beheren van marktonderzoeken. Deze software wordt gebruikt door meerdere grote Nederlandse marktonderzoeksbureaus, die op hun beurt weer werken voor de commerciële organisaties. Door een hack bij deze softwareleverancier zijn de gegevens van deze partijen blootgesteld.

Dit incident laat zien hoe belangrijk het is om de beveiliging van data en systemen serieus te nemen. Als jouw organisatie gebruik maakt van een externe partij voor het verwerken of opslaan van uw data, dan dien je er zeker van te zijn dat deze partij voldoet aan de hoogste standaarden op het gebied van informatiebeveiliging. Je wil immers niet dat je reputatie of die van klanten wordt geschaad door een incidenten bij toeleveranciers.

Stel eisen aan het IT-security niveau van je leverancier

Het is de verantwoordelijkheid van organisaties om veilig om te gaan met persoonsgegevens. Processen en maatregelen dienen ingericht te zijn om data-veiligheid te waarborgen, zowel intern als bij leveranciers die worden gecontracteerd om delen van een proces uit te voeren. Is een leverancier in staat om de IT security en privacy beheersing aan te tonen, dan geldt dit als een absolute pré in een selectietraject. Dit stelt de uitbestedende organisatie in staat om grip te houden op de beveiliging bij een leverancier en zodanig uitvoering te geven aan haar eigenlijk verantwoordelijkheid om toe te zien op de veilige verwerking van data.

Toon IT-security aan met ISAE 3402 en SOC 2

Een manier om IT security aan te tonen is door het verstrekken van een ISAE 3402 of SOC 2 verklaring. Dit zijn internationaal erkende standaarden voor het beoordelen en rapporteren over de kwaliteit en effectiviteit van IT-security van een serviceorganisatie. Een serviceorganisatie is een partij die diensten levert aan andere organisaties, zoals in dit geval de betreffende softwareleverancier.

Een ISAE 3402 of SOC 2 verklaring geeft aan dat een serviceorganisatie beschikt over volwassen security processen en aantoonbaar in control is over de risico’s die samenhangen met de dienstverlening. Een onafhankelijke auditor voert een uitgebreide controle uit om te verifiëren dat de serviceorganisatie voldoet aan de gestelde normen en eisen. De auditor geeft vervolgens een oordeel af over de betrouwbaarheid en effectiviteit van de interne beheersing.

Door te kiezen voor een serviceorganisatie met een ISAE 3402 of SOC 2 verklaring, kan de eindklant er dus op vertrouwen dat data en systemen in goede handen zijn. Tevens toont deze verklaring aan klanten, toezichthouders en overige stakeholders aan dat er zorgvuldig wordt omgaat met informatiebeveiliging.

Het datalek is een wake-up call voor alle organisaties die gebruik maken van externe partijen voor hun data en systemen. Het is essentieel om te weten wie uw data heeft, waar deze wordt opgeslagen en hoe deze wordt beveiligd. Vraag daarom altijd naar een ISAE 3402 of SOC 2 verklaring als je zaken doet met een serviceorganisatie. Zo kun je datalekken voorkomen en uw informatiebeveiliging verbeteren.

Lees meer over IT-assurance verklaringen

Kies voor de aanpak van Hoek en Blok IT

Wij begeleiden klanten bij het inrichten van maatregelen rondom bedrijfs-, IT security- en privacy-processen en geven ISAE of SOC Assurance rapportages af om beheersing voor jouw klanten aan te tonen.

Onze aanpak is gebaseerd op best practices, doelgericht, pragmatisch én betaalbaar. Maatregelen zoveel mogelijk belegd in de 1e lijn, geen onnodige administratieve last.

Aantoonbare IT-, privacy- en procesbeheersing is voor klanten steeds vaker een randvoorwaarde bij de selectie van een leverancier. ISAE en SOC geven zekerheid over de structurele uitvoering van maatregelen én AVG, in tegenstelling tot ISO 27001.

Meer informatie? Vul het formulier in en we nemen contact met je op.

  • Professionele begeleiding

  • Overtuig jouw klanten

  • Efficiënt en scherpe prijs

    NEEM CONTACT OP

    We begrijpen dat privacy belangrijk voor je is, daarom gebruiken we je gegevens uitsluitend om met je te communiceren. Zie onze privacyverklaring om te zien hoe wij met je gegevens omgaan.